Options de test

Vue Options de test de la boîte de dialogue Configuration.

Cette vue permet de configurer divers paramètres affectant la longueur et la précision de l'examen. Les paramètres par défaut sont cependant suffisants dans la plupart des cas.

Paramètre

Détails

Options de test :

Utiliser des tests adaptatifs

AppScan® peut envoyer plusieurs milliers de tests à un site. Cependant, pour réduire le temps d'examen, il peut envoyer des tests préliminaires qui déterminent, de façon intelligente, quels sont les tests appropriés à envoyer et quels sont ceux qui ne le sont pas. Ce sont les "tests adaptatifs". Ils peuvent considérablement réduire le temps d'examen, sans pour autant faire baisser l'efficacité.

Décochez cette case si vous souhaitez qu'AppScan envoie tous ses tests au site.

Autoriser l'examen en plusieurs phases

AppScan analyse les réponses aux tests qu'il envoie à votre application. A partir de cette analyse, AppScan découvre fréquemment du contenu supplémentaire, tel que des liens invisibles lors de la première "phase" de l'examen. L'examen en plusieurs phases permet à AppScan de répéter les étapes d'exploration et de test sur ce contenu nouvellement détecté. (La phase supplémentaire est généralement plus courte puisqu'elle n'implique que les nouveaux liens.)

L'examen en plusieurs phases est configuré par défaut pour permettre un maximum de 4 phases d'examen.

Notez que l'examen en plusieurs phases s'applique uniquement lorsque vous exécutez un examen intégral. Si vous utilisez les fonctions Exploration uniquement et Test uniquement, le résultat sera un examen à une seule phase.

Envoyer les tests sur les pages de connexion et de déconnexion

Nous vous recommandons d'autoriser AppScan à effectuer des tests des pages de connexion et de déconnexion, sauf si votre application interdit l'accès aux utilisateurs qui fournissent une entrée interdite ; le flux de l'application serait altéré si AppScan testait ces pages.

Ne pas envoyer d'identificateurs de session lors des tests des pages de connexion.

(Actif uniquement si la case précédente est cochée.) Il est recommandé de laisser cette case cochée, car les identificateurs de session peuvent limiter la réussite des tests des pages de connexion. Désactivez cette option uniquement si vous êtes certain que des jetons de session valides sont nécessaires pour tester vos pages de connexion.

Notez que même lorsque cette case est sélectionnée, certains tests sont tout de même envoyés avec des identificateurs de session, pour empêcher les résultats faux positifs.

Analyser les résultats pour rechercher les problèmes déclenchés par inadvertance

Lorsque cette option est sélectionnée, AppScan analyse chaque réponse du test pour détecter d'autres problèmes de sécurité en plus de celui qu'il a testé. Désélectionnez cette option si l'application est très grande ou si les examens génèrent un grand nombre de résultats faux positifs.

Inclure toutes les variantes de chaque problème

(Actif uniquement si la case précédente est cochée.) Lorsque cette option est sélectionnée, AppScan analyse toutes les variantes de chaque problème déclenché par inadvertance. Lorsqu'elle est désélectionnée, une seule variante par problème est analysée. Il n'est généralement pas nécessaire de cocher cette case, car cela augmente considérablement la durée de l'analyse.

Tester les problèmes de sécurité des cookies dans les demandes de soumission de formulaire uniquement

Lorsque ce paramètre est sélectionné (par défaut), AppScan applique les tests associés à des cookies uniquement aux cookies utilisés dans les demandes de soumission de formulaire. Pour une précision plus élevée (impliquant également une durée d'examen plus longue), décochez cette case afin qu'AppScan soumette des tests de cookie pour toutes les requêtes HTTP pertinentes.

Sauvegarder les informations sur les variantes de test non vulnérables

Lors d'un examen, AppScan envoie plusieurs milliers de variantes du test au site testé. La plupart des réponses indiquent qu'il n'y a aucune menace concernant la sécurité, et AppScan annule par défaut tous ces résultats "non vulnérables", réduisant ainsi considérablement le volume des données de résultats.

Si vous cochez cette case, AppScan enregistre toutes les variantes non vulnérables. Un avertissement s'affiche car cette option réduit la performance d'AppScan et augmente considérablement l'espace disque requis.

Remarque : Si vous apportez des modifications aux Options de test après un examen, il est possible qu'une invite vous demande de procéder à un nouvel examen, car toutes les modifications peuvent s'appliquer aux résultats existants.